ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 1,5 milyondan fazla araçta bulunan MiCODUS MV720 Küresel Konumlandırma Sistemi (GPS) izleyicilerinde kritik operasyonların uzaktan kesintiye uğramasına yol açabilecek bir avuç yamalanmamış güvenlik açığı konusunda uyarıda bulunuyor.
CISA, “Bu güvenlik açıklarının başarılı bir şekilde kullanılması, uzak bir aktörün erişimden yararlanmasına ve küresel konumlandırma sistemi izleyicisinin kontrolünü ele geçirmesine izin verebilir.” Dedi. “Bu güvenlik açıkları, bir araç yakıt kaynağına erişimi, araç kontrolünü etkileyebilir veya cihazın kurulu olduğu araçların konumsal gözetimine izin verebilir.”
20$’a satışa sunulan ve Çin merkezli MiCODUS tarafından üretilen şirketin izleme cihazları, havacılık, enerji, mühendislik, hükümet, imalat, nükleer santral ve nakliye sektörlerini kapsayan 169 ülkedeki büyük kuruluşlar tarafından kullanılıyor.
En çok kullanıcıya sahip ülkeler arasında Şili, Avustralya, Meksika, Ukrayna, Rusya, Fas, Venezuela, Brezilya, Polonya, İtalya, Endonezya, Özbekistan ve Güney Afrika yer alıyor.
BitSight tarafından yapılan bir güvenlik denetimi sırasında tespit edilen sorunlar, aynı zamanda, bireyleri bilgisi dışında izlemek, araçları devre dışı bırakmak ve hatta orduların ve kolluk kuvvetlerinin gerçek zamanlı izleme için izleyiciler.
BitSight araştırmacıları, “Bir ulus devlet düşmanı, tedarik yolları, düzenli birlik hareketleri ve tekrarlanan devriyeler dahil olmak üzere askeri bağlantılı hareketler hakkında istihbarat toplamak için izleyicinin güvenlik açıklarından potansiyel olarak yararlanabilir” dedi.
Eylül 2021’de MiCODUS’a açıklanan kusurların listesi aşağıdadır –
- CVE-2022-2107 (CVSS puanı: 9.8) – Kimliği doğrulanmamış bir saldırganın ortadaki düşman (AitM) saldırıları gerçekleştirmesini ve izleyicinin kontrolünü ele geçirmesini sağlayabilecek, sabit kodlanmış bir ana parolanın kullanılması.
- CVE-2022-2141 (CVSS puanı: 9.8) – Bir saldırganın GPS izleyici ile orijinal sunucu arasındaki tüm trafiği kontrol etmesini ve kontrolü ele geçirmesini sağlayan API sunucusundaki bozuk kimlik doğrulama şeması.
- Atanmış CVE yok (CVSS puanı: 8.1) – Saldırganların herhangi bir GPS izleyicisine rastgele erişmesine izin veren, önceden yapılandırılmış bir varsayılan parola “123456” kullanımı.
- CVE-2022-2199 (CVSS puanı: 7.5) – Web sunucusunda, web tarayıcısında rastgele JavaScript kodunun yürütülmesine yol açabilecek, yansıyan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı.
- CVE-2022-34150 (CVSS puanı: 7.1) – Güvenli Olmayan Doğrudan Nesne Referansından (IDOR) kaynaklanan ve hassas bilgilerin açığa çıkmasına neden olabilecek bir erişim denetimi güvenlik açığı.
- CVE-2022-33944 (CVSS puanı: 6.5) – Cihaz etkinliği hakkında Excel raporları oluşturmak için kullanılabilecek kimliği doğrulanmış bir IDOR güvenlik açığı vakası.
Özetle, kusurlar konuma, rotalara, yakıt kesme komutlarına erişim ve ayrıca alarmlar gibi çeşitli özellikleri devre dışı bırakma yeteneği elde etmek için silahlandırılabilir.
Ancak görünürde herhangi bir geçici çözüm bulunmadığından, söz konusu GPS izci kullanıcılarının, maruz kalmayı en aza indirecek adımlar atmaları veya alternatif olarak cihazları kullanmayı bırakmaları ve şirket tarafından bir düzeltme sağlanana kadar bunları tamamen devre dışı bırakmaları tavsiye edilir.
Araştırmacılar, “Bir aracı etkinleştirme veya devre dışı bırakma, hızı, rotaları izleme ve diğer özelliklerden yararlanma özelliğine sahip GPS izleyicilerini izlemek için merkezi bir gösterge panosuna sahip olmak, birçok kişi ve kuruluş için faydalıdır” dedi. “Ancak, bu tür işlevler ciddi güvenlik riskleri doğurabilir.”